"Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer"

Printable View

16.07.2008, 06:52
jnix

Вложений: 3

"Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer"

Получил сообщение на рабочий стол. Понимаю, что проблема распространенная, но в правилах указано, что каждый случай индивидуален, поэтому создаю новую тему.

Спасибо.
16.07.2008, 10:06
Kuzz

1. Скачайте IceSword: [url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url]

2. Запустите, слева внизу нажмите File, затем найдите файлы:
C:\WINDOWS\system32\Drivers\Gmr73.sys
C:\WINDOWS\System32\drivers\tcpsr.sys
и сделайте им [url=http://virusinfo.info/showthread.php?t=17228]Force Delete[/url].

3.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}');
DelBHO('{B863453A-26C3-4e1f-A54D-A2CD196348E9}');
QuarantineFile('C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll','');
DelBHO('{C5AF49A2-94F3-42BD-F434-3604812C897D}');
QuarantineFile('C:\Windows\system\winload.exe','');
QuarantineFile('C:\WINDOWS\system32\winhelp.exe','');
QuarantineFile('C:\WINDOWS\msserv.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlogan.exe','');
QuarantineFile('C:\DOCUME~1\DEMO\LOCALS~1\Temp\csrssc.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\irsir.sys','');
QuarantineFile('C:\WINDOWS\system32\io02.sys','');
DeleteService('Google Online Services');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Gmr73.sys','');
QuarantineFile('C:\WINDOWS\system32\jdgf8edfsde.dll','');
TerminateProcessByName('c:\windows\system\winload.exe');
QuarantineFile('c:\windows\system\winload.exe','');
TerminateProcessByName('c:\windows\temp\winlogan.exe');
QuarantineFile('c:\windows\temp\winlogan.exe','');
TerminateProcessByName('c:\windows\temp\1399825856.exe');
TerminateProcessByName('c:\documents and settings\demo\ie_updates3r.exe');
QuarantineFile('c:\documents and settings\demo\ie_updates3r.exe','');
QuarantineFile('c:\program files\d-link\airplus g\airgcfg.exe','');
QuarantineFile('c:\windows\temp\1399825856.exe','');
DeleteFile('c:\windows\temp\1399825856.exe');
DeleteFile('c:\documents and settings\demo\ie_updates3r.exe');
DeleteFile('c:\windows\temp\winlogan.exe');
DeleteFile('c:\windows\system\winload.exe');
DeleteFile('C:\WINDOWS\system32\jdgf8edfsde.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Gmr73.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\DOCUME~1\DEMO\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');
DeleteFile('C:\WINDOWS\msserv.exe');
DeleteFile('C:\WINDOWS\system32\blphc1q3j0etp3.scr');
DeleteFile('C:\WINDOWS\system32\winhelp.exe');
DeleteFile('C:\Windows\system\winload.exe');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
DeleteFile('c:\windows\winlogon.exe');
DeleteFile('c:\windows\system32\lphc1q3j0etp3.exe');
DeleteFile('C:\WINDOWS\system32\pzvd534.exe');
DeleteFile('C:\ltida3.exe');
ExecuteRepair(6);
ClearHostsFile;
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=26554[/url]

4. Повторите логи.
16.07.2008, 11:41
jnix

Вложений: 3

Повторение логов

Вот логи. Спасибо
16.07.2008, 11:46
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O4 - HKUS\S-1-5-18\..\Run: [HJdfke9kfdf] C:\WINDOWS\TEMP\csrssc.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [HJdfke9kfdf] C:\WINDOWS\TEMP\csrssc.exe (User 'Default user')[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Gmr73');
DeleteFile('C:\WINDOWS\System32\Drivers\Gmr73.sys');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Gmr73 ');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи начиная с п.10 правил...
22.02.2009, 06:34
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\jdgf8edfsde.dll - [B]Trojan.Win32.Agent.uvk[/B] (DrWEB: Trojan.Packed.568)[*] c:\\windows\\temp\\winlogan.exe - [B]Trojan-Downloader.Win32.Agent.wja[/B] (DrWEB: Trojan.DownLoad.2061)[*] c:\\windows\\temp\\1399825856.exe - [B]Trojan-Downloader.Win32.Agent.wib[/B] (DrWEB: Trojan.Packed.568)[/LIST][/LIST]